Deutschland | Deutsch Standorte

0800 10 12 1314 Starten Sie Ihre Datenrettung
0800 10 12 1314
0800 10 12 1314
Starten Sie Ihre Datenrettung

Vollständiger Leitfaden für Datenrettung bei Ransomware

Written By: Ontrack

Date Published: 5. August 2024 11:14:00 EDT

Vollständiger Leitfaden für Datenrettung bei Ransomware

Arrow Left Zurück zur auflistung

  • ransomware-1

  • Was ist Ransomware? Der vollständige Leitfaden

  •  
  • Bei Ransomware handelt es sich um eine Form von Schadsoftware, die entweder den Zugriff auf ein Computersystem blockiert oder die Daten eines Nutzers online veröffentlicht. Der Angreifer fordert vom Opfer ein Lösegeld und verspricht - nicht immer wahrheitsgemäß -, den Zugriff auf die Daten bei Zahlung wiederherzustellen.

  • Seit den 1980er Jahren sind im letzten Jahrzehnt immer mehr verschiedene Ransomware-Trojaner aufgetaucht, aber die tatsächliche Chance für Angreifer hat sich seit der Einführung von Bitcoin erhöht. Diese Kryptowährung ermöglicht es Angreifern, auf einfache Weise Geld von ihren Opfern einzutreiben, ohne traditionelle Kanäle zu nutzen.

  • Ransomware-Angriff: Wie kommen Cyberkriminelle ins Spiel?

Ein Ransomware-Angriff beginnt, wenn Schadsoftware auf ein Gerät heruntergeladen wird. Beispiele für Gerätetypen sind Laptops, Smartphones oder Desktop-Computer. Die Schadsoftware wird normalerweise aufgrund von Benutzerfehlern oder unzureichenden Sicherheitsprotokollen heruntergeladen.

(Spear-) Phishing-Mails

Das häufigste Übertragungssystem für Ransomware ist eine Phishing-E-Mail, die einen Anhang oder einen Link enthält.

Infizierte Webseiten und Malvertising/Adware 

Infizierte URLs werden häufig zur Verbreitung von Ransomware verwendet. Wenn Sie auf einen dieser Links klicken, sei es über eine E-Mail oder eine nicht verifizierte Website, kann automatisch ein Ransomware-Download auf Ihre Festplatte ausgelöst werden, auch bekannt als „Drive-by-Download“. Schon der Besuch der Website, ohne etwas herunterzuladen, kann zu einem Ransomware-Angriff führen.

Remote Access Points (RDP)

Eine zunehmende Anzahl von Angriffen verschafft sich Zugang zu einem Unternehmen, das offene und ungeschützte Remote-Zugriffspunkte wie RDP und Virtual Network Computing (VNC) hat. RDP-Anmeldeinformationen können durch Brute-Force-Angriffe erlangt, durch Passwortlecks erhalten oder einfach auf Untergrundmärkten gekauft werden. Während frühere Ransomware-Kriminelle eine Befehls- und Steuerungsumgebung für die Ransomware und die Entschlüsselungsschlüssel einrichteten, wenden sich die meisten Kriminellen heute mit Lösegeldforderungen an ihre Opfer, die eine anonyme E-Mail-Dienstadresse enthalten, sodass die Kriminellen besser versteckt bleiben können.

Sobald Ransomware ein System infiziert hat, übernimmt sie den kritischen Prozess des Geräts. Auf der Suche nach zu verschlüsselnden Dateien verschlüsselt die Malware alle Daten auf dem Gerät oder löscht die Dateien, die sie nicht verschlüsseln kann. Sie kann alle externen Geräte infizieren, die an den Host-Computer angeschlossen sind. Bei ausgefeilteren Angriffen ist dies nur der Beginn einer Reihe von Ereignissen, wie im Lockheed Martin Cyber Kill Chain®-Framework und in der MITRE ATT&CK®-Wissensdatenbank beschrieben.

 

Verschiedene Ransomware-Taktiken

Ransomware wird auch als Erpressungssoftware bezeichnet. Cyberkriminelle nutzen verschiedene Taktiken, um an Geld zu kommen.

Verschlüsselung von Daten

In vielen Fällen sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf basiert, dass die Daten unlösbar verschlüsselt und für den Benutzer unzugänglich sind. Versprechen eines Entschlüsselungsschlüssels im Austausch gegen Geld.

Datendiebstahl durch Exfiltration Leakware oder Doxware

Eine andere Malware wird Leakware oder Doxware genannt. Hier droht der Angreifer damit, sensible Daten auf der Festplatte des Opfers freizugeben, wenn kein Lösegeld gezahlt wird. Oftmals sind E-Mails und Word-Dokumente das Ziel, aber es gab auch Fälle von mobilen Varianten, bei denen private Nachrichten, Bilder und Kontaktlisten von den Telefonen der Benutzer freigegeben wurden.

Doxware gilt als effektivere Malware als Ransomware - wenn es darum geht, das Geld vom Opfer zu bekommen. Bei Ransomware können Sie Backups von Daten zurück spielen, auf die Sie nicht mehr zugreifen können. Sobald ein Angreifer jedoch in den Besitz von Informationen gelangt, die das Opfer nicht veröffentlichen möchte, kann dieses nichts weiter tun, als zu zahlen um der potentiellen Veröffentlichung zu entgehen.

Sperrung

Es gab auch Fälle, in denen Malware eine Meldung anzeigte, dass das „Windows“ des Benutzers gesperrt sei. Der Benutzer wird dann aufgefordert, eine „Microsoft“-Telefonnummer anzurufen und einen sechsstelligen Code einzugeben, um das System zu reaktivieren. In der Meldung wird behauptet, dass der Anruf kostenlos sei, was jedoch nicht stimmt. Während der Benutzer das gefälschte „Microsoft“ anruft, fallen hohe Gebühren für Ferngespräche an.

Wiper

Malware mit dem alleinigen Ziel, den Zugriff auf Daten dauerhaft zu zerstören.

Doppelte und dreifache Erpressung

Im Laufe der Zeit entstanden neue Taktiken, bei denen Datenverschlüsselung mit Datendiebstahl (doppelte Erpressung) und einem verteilten Denial-of-Service-Angriff (DDoS) (dreifache Erpressung) kombiniert wurde.

Ransomware-Bedrohungsgruppen und -varianten

Die Bedrohung geht von verschiedenen Akteuren mit unterschiedlichen Motiven und Fähigkeiten aus, die von Akteuren aus Nationalstaaten über Kriminelle, Hacktivisten, Skript-Kiddies/Abenteurer bis hin zu Insidern reichen. Verschiedene Bedrohungsgruppen haben viele verschiedene Varianten von Ransomware entwickelt, und es werden ständig neue erstellt. Diese Gruppen sind oft spezialisiert und arbeiten zusammen.

Einige Beispiele für bekannte Ransomware-Varianten, die von diesen Gruppen in den letzten Jahren entwickelt wurden:

2024 AKIRA, SEXi Ransomware

2023 Lockbit, AlpVM, Clop (manchmal auch „Cl0p“ geschrieben), Royal

2022 BlackBasta

2021 BlackCat

2020 NetWalker

2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova

2018 Ryuk, GandCrab

2017 WannaCry, Dharma, BitPaymer, BadRabbit

2016 Petya NotPetya, Locky, Cerber

2015 SamSam

2014 Emotet

2013 Cryptolocker

Eine umfassende Übersicht über die Bedrohungsgruppen und -varianten finden Sie hier:
CERT Orangecyberdefense

Bin ich ein Ziel für Ransomware?

In der heutigen Online-Welt stellt sich nicht die Frage, ob eine Organisation angegriffen wird, sondern wann und wie gut sie darauf vorbereitet ist.

Wenn Sie die Nachrichten verfolgen, werden Sie festgestellt haben, dass Organisationen aus einer Vielzahl von unterschiedlichen Sektoren und Branchen Opfer von Ransomware-Angriffen geworden sind. Von der Gesundheitsversorgung bis hin zu Fluggesellschaften scheinen die Angreifer keine Präferenz dafür zu haben, wen sie ins Visier nehmen, oder doch?

Ein Angreifer wählt normalerweise ein Unternehmen aus, das er angreift, und zwar aufgrund von zwei Faktoren:

  1. Gelegenheit

  2. Potenzieller finanzieller Gewinn

Gelegenheit

Wenn eine Organisation über ein kleines Sicherheitsteam verfügt, keine IT-Ressourcen hat und eine Benutzerbasis hat, die viele Dateien gemeinsam nutzt, z. B. eine Universität, dann kann ein Angreifer dies als leichtes Ziel betrachten.

Möglicher finanzieller Gewinn

Organisationen, die sofortigen Zugriff auf ihre Dateien benötigen, z. B. Anwaltskanzleien oder Regierungsbehörden, sind möglicherweise eher bereit, schnell ein Lösegeld zu zahlen. Organisationen mit sensiblen Daten sind möglicherweise auch bereit, dafür zu zahlen, dass die Nachricht von der Datenpanne nicht bekannt wird.

Sollte ich das Lösegeld zahlen?

Man könnte meinen, dass die Zahlung eines Lösegelds, um Zugang zu Ihren Daten zu erhalten, schon schlimm genug ist, aber das kann im Vergleich zu den tatsächlichen Schadenskosten, die mit einem Angriff verbunden sind, leicht verblassen. Zu den weiteren Auswirkungen gehören:

  • Beschädigung und Zerstörung (oder Verlust) von Daten
  • Produktivitätsverlust
  • Unterbrechung bzw. Ausfall des normalen Geschäftsablaufs nach dem Angriff
  • Forensische Untersuchung durch Polizeibehörden oder zur Klärung ob eine Versicherung zahlen könnte
  • Wiederherstellung und Löschung von gestohlenen Daten und -systemen
  • Schädigung des Rufs
  • Mitarbeiterschulungen als direkte Reaktion auf die Angriffe

Wenn man all dies berücksichtigt, ist es kein Wunder, dass die Schäden durch Ransomware voraussichtlich steigen werden. Wenn man mit Experten für Cyberkriminalität spricht, raten die meisten davon ab, das Lösegeld zu zahlen, da die Finanzierung von Ransomware-Angreifern nur dazu beiträgt, dass mehr Ransomware entsteht. Viele Organisationen missachten diesen Rat jedoch und wägen die Kosten der verschlüsselten Daten gegen das geforderte Lösegeld ab. Aber warum zahlen Organisationen ihren Angreifern Lösegeld?

Obwohl der breiten Geschäftswelt empfohlen wird, Lösegeldzahlungen zu verweigern, ist eine solche Weigerung für das Unternehmen selbst möglicherweise nicht die beste Vorgehensweise. Wenn die Gefahr besteht, dass das Unternehmen dauerhaft den Zugriff auf wichtige Daten verliert, Geldstrafen von Aufsichtsbehörden verhängt werden oder das Unternehmen ganz aus dem Geschäft ausscheidet, scheinen die Optionen für Unternehmen düster zu sein. Die Entscheidung zwischen der Zahlung eines relativ geringen Lösegeldes und dem Verbleib im Geschäft oder der Weigerung zu zahlen, unter Abwägung der Risiken für das Unternehmen, ist für die meisten offensichtlich. In einigen Fällen von Ransomware wird das geforderte Lösegeld oft so hoch angesetzt, dass es sich für den Angreifer lohnt, aber niedrig genug, dass es oft günstiger ist, als wenn das Opfer für die Wiederherstellung seiner verlorenen Daten zahlt. Manchmal werden auch Rabatte angeboten, wenn das Opfer innerhalb eines bestimmten Zeitrahmens, z. B. 3 Tage, zahlt.

Vor diesem Hintergrund bilden einige Unternehmen Rücklagen in Bitcoin speziell für Lösegeldzahlungen.

Wie man einen Ransomware-Angriff verhindern kann

Ransomware-Varianten zielen auf verschiedene Branchen ab. Die gefährdeten Unternehmen sollten Vorkehrungen treffen, um ihr Risiko zu verringern und die Auswirkungen eines Angriffs zu mindern. Einer der wichtigsten Pläne, über den Ihre Organisation verfügen sollte, ist ein Notfallwiederherstellungsplan. Wenn Sie keinen haben, ist die Wahrscheinlichkeit hoch, dass die Folgen schwerwiegend sein werden. Viele Unternehmen, die zehn oder mehr Tage lang Datenverluste und Ausfallzeiten erleiden, melden innerhalb von 12 Monaten Insolvenz an.

Disaster-Recovery-Plan

Auch Notfallwiederherstellungsplan genannt, beschreibt verschiedene Szenarien für die schnelle Wiederaufnahme der Arbeit nach einem Notfall, d. h. einem Ransomware-Angriff. Er ist auch ein wichtiger Teil des Business-Continuity-Plans (BCM) eines Unternehmens und sollte eine ausreichende IT-Wiederherstellung und die Vermeidung von Datenverlust ermöglichen. Ein Notfallwiederherstellungsplan beschreibt verschiedene Szenarien für die schnelle Wiederaufnahme der Arbeit nach einem Notfall, d. h. einem Ransomware-Angriff. 

Denken Sie daran, den Plan auf dem neuesten Stand zu halten und auch einige gedruckte Versionen aufzubewahren. Denn wenn er sich auf einem verschlüsselten Server oder Laufwerk befindet, ist selbst der beste Notfallplan nutzlos. Wenn Sie keinen Notfallwiederherstellungsplan haben, können Sie unsere kostenlose Vorlage hier herunterladen.

Weitere Empfehlungen sind:

img_600x600_computer-technician

  1. Stellen Sie sicher, dass Sie über aktuelle Backups verfügen. Auf diese Weise können Sie im Falle eines Falles Ihre Dateien am schnellsten aus einem Backup wiederherstellen und so wieder auf Ihre Daten zugreifen.

  2. Seien Sie vorbereitet, indem Sie Backups regelmäßig testen. Organisationen müssen wissen, was in Backup-Archiven gespeichert ist, und sicherstellen, dass auf die wichtigsten Daten zugegriffen werden kann, falls Ransomware auf Backups abzielt.

  3. Führen Sie Benutzerschulungen durch, um sicherzustellen, dass alle Mitarbeiter einen potenziellen Angriff erkennen können. Sie sich, dass die Mitarbeiter die besten Praktiken kennen, damit sie nicht versehentlich Ransomware herunterladen oder das Netzwerk für Außenstehende öffnen.

  4. Implementieren Sie Sicherheitsrichtlinien. Verwenden Sie die neueste Antiviren-, Anti-Malware- und Endpunkterkennungssoftware und überwachen Sie diese konsequent, um Infektionen zu verhindern.

  5. Stellen Sie sicher, dass Ihre Mailserver Inhalte scannen und filtern. Scannen Sie jede eingehende E-Mail auf bekannte Bedrohungen und blockieren Sie alle Anhänge, die eine Bedrohung darstellen könnten.

  6. Entwickeln Sie IT-Richtlinien, die Infektionen auf anderen Netzwerkressourcen einschränken. Unternehmen sollten Sicherheitsvorkehrungen treffen, damit sich ein mit Ransomware infiziertes Gerät nicht im gesamten Netzwerk ausbreitet z.B. Segmentierung.

  7. Sichern Sie sich bereits in ruhigen Zeiten die Ressourcen von Incident Response Spezialistenteams und Ontrack-Datenrettungsspezialisten mit Rahmenverträgen für den Notfall.

  8. Kommunikation ist in Krisenzeiten entscheidend. Erstellen Sie E-Mail-Adressen für Notfälle (für die wichtigsten Entscheidungsträger), die von der Unternehmensumgebung getrennt sein könnten, z. B. bei einem kostenlosen Cloud-E-Mail-Anbieter wie gmx. yahoo etc. Tragen Sie diese, einschließlich der Anmeldedaten, in den Notfallplan ein. Eine unternehmensweite WhatsApp-Gruppe hat sich auch für betroffene Unternehmen als nützlich erwiesen. Ein externer Dateifreigabeserver ist ebenfalls hilfreich. Dies beschleunigt und erleichtert die Kommunikation nach einem Vorfall.

Reduzieren Sie die Gefahren der Cyberrisiken: Verwalten Sie Ihren Data Life Cycle

Die Verwaltung von Daten über ihren gesamten Lebenszyklus hinweg wird von vielen Organisationen oft nicht in Betracht gezogen. Ohne eine Data Life Cycle Strategie setzt sich eine Organisation jedoch ernsthaften Sicherheitsrisiken und Kosten aus. Heutzutage sind die Kosten für einen ineffektiven Datenschutz zu hoch.

Es sind nicht nur Ransomware-Angriffe, vor denen Unternehmen auf der Hut sein müssen. Datenlecks, Rufschädigung, verlorene Kunden, Ausfallzeiten und hohe Bußgelder sind alles potenzielle Risiken für ein Unternehmen, das den Lebenszyklus seiner Daten nicht effektiv verwaltet. Unternehmen, die sich die Zeit nehmen, die notwendigen Anstrengungen und Ressourcen in das Data-Life-Cycle-Management zu investieren, können die Risiken und Kosten ihrer geschäftskritischen Daten in allen Phasen minimieren.

In unserer Reihe, wie Ihre Organisation ihre Daten während des gesamten Lebenszyklus (Teil1) / (Teil2) schützen kann erfahren Sie mehr zum Thema.

Wie Ontrack Organisationen geholfen hat, die von Ransomware betroffen waren

Bei Ontrack verfolgen wir kontinuierlich verschiedene Arten von Ransomware. Ransomware verändert und entwickelt sich ständig weiter, daher möchten wir sicherstellen, dass wir die neuesten Veränderungen und Fortschritte beobachten und untersuchen. Die Untersuchung von Ransomware und ihren sich ständig ändernden Formen bietet zusätzliches Wissen und Erfahrung, was die Wahrscheinlichkeit erhöht, dass wir Daten wiederherstellen können, die durch einen Angriff verloren gegangen sind. Wenn es um unzugängliche Daten geht, ist es immer am besten, einen Experten zu kontaktieren. Wenn Sie Opfer eines Ransomware-Angriffs werden, wenden Sie sich an einen Experten wie Ontrack, der Ihnen dabei hilft, wieder auf Ihre Daten zuzugreifen.

Im Folgenden finden Sie einige Beispiele für erfolgreiche Ransomware-Datenrettungen, die wir durchgeführt haben:

Cyberangriff auf VMware-Datenspeicher und virtuelle Backups

Datenwiederherstellung von mit Ransomware infizierten virtuellen Dateien

Krankenhausdatenbanken vor Ransomware gerettet

Zusammenführen einer beschädigten Veeam VBK Sicherung und inkrementellen VIB Dateien

MS SQL-Datenbank aus verschlüsseltem virtuellem Backup auf QNAP gerettet

Hacker-Fehler ausgenutzt: Erfolgreiche Datenrettung nach Ransomware Angriff

 

Wenden Sie sich an Ihr Ontrack-Datenrettungsteam, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach dem Ausfall Ihres Enterprise NAS oder SAN Storage aber insbesondere nach einem Ransomware Incident unterstützen können.

Weitere Informationen zum Thema finden Sie unter

Abonnieren

Verwandte Themen

Wie mit einem Ransomware-Angriff umgehen?

Wie kann ein Unternehmen Datenverlust durch Ransomware verhindern?

Daten als Geisel
Dienstleistungen
Produkte
Ressourcen
Über Ontrack

KLDiscovery Ontrack GmbH, Hanns-Klemm-Straße 5, 71034 Böblingen, Deutschland (Alle standorte anzeigen)

© 2024 KLDiscovery Ontrack - All Rights Reserved.